デプロイを計画する

このセクションでは、での Research and Engineering Studio のデプロイを計画するのに役立つコスト、セキュリティ、サポートされているリージョン、クォータについて説明します AWS。

コスト

の Research and Engineering Studio AWS は追加料金なしで利用でき、アプリケーションの実行に必要なリソースに対して AWS のみ料金が発生します。詳細については、「AWS この製品のサービス」を参照してください。

注記

この製品の実行中に使用される AWS サービスのコストは、お客様の負担となります。

コスト管理を容易にするために、AWS Cost Explorer を使用して予算を作成することを推奨しています。価格は変更されることがあります。詳細については、この製品で使用される各 AWS サービスの料金ウェブページを参照してください。

セキュリティ

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。

セキュリティは、 AWS お客様とお客様の間の責任共有です。責任共有モデルでは、これをクラウドのセキュリティとクラウド内のセキュリティと定義しています。

クラウドのセキュリティ – AWS は、で AWS サービスを実行するインフラストラクチャを保護する責任を担います AWS クラウド。 AWS は、お客様が安全に使用できるサービスも提供します。サードパーティーの監査者は、AWS コンプライアンスプログラムコンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。で Research and Engineering Studio に適用されるコンプライアンスプログラムの詳細については AWS、「コンプライアンスAWS プログラムによる対象範囲内のサービスコンプライアンス」を参照してください。
クラウド内のセキュリティ — お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

Research and Engineering Studio が使用する AWS サービスで責任共有モデルを適用する方法については、「」を参照してくださいこの製品のサービスに関するセキュリティ上の考慮事項。 AWS セキュリティの詳細については、AWS クラウド「セキュリティ」を参照してください。

IAM ロール

AWS Identity and Access Management (IAM) ロールを使用すると、のサービスおよびユーザーにきめ細かなアクセスポリシーとアクセス許可を割り当てることができます AWS クラウド。この製品は、製品の AWS Lambda 関数と Amazon EC2 インスタンスにリージョンリソースを作成するためのアクセス権を付与する IAM ロールを作成します。

RES は IAM 内のアイデンティティベースのポリシーをサポートしています。デプロイされると、RES は管理者のアクセス許可とアクセスを定義するポリシーを作成します。製品を実装する管理者は、RES と統合された既存のカスタマー Active Directory 内でエンドユーザーとプロジェクトリーダーを作成および管理します。詳細については、AWS 「 Identity and Access Management ユーザーガイド」の「IAM ポリシーの作成」を参照してください。

組織の管理者は、アクティブディレクトリを使用してユーザーアクセスを管理できます。エンドユーザーが RES ユーザーインターフェイスにアクセスすると、RES は Amazon Cognito で認証します。

セキュリティグループ

この製品で作成されたセキュリティグループは、Lambda 関数、EC2 インスタンス、ファイルシステム CSR インスタンス、リモート VPN エンドポイント間のネットワークトラフィックを制御および分離するように設計されています。セキュリティグループを確認し、製品のデプロイ後に必要に応じてアクセスをさらに制限することをお勧めします。

データ暗号化

デフォルトでは、 AWS (RES) の Research and Engineering Studio は、RES 所有のキーを使用して、保管中および転送中の顧客データを暗号化します。RES をデプロイするときに、を指定できます AWS KMS key。RES は、認証情報を使用してキーアクセスを付与します。顧客所有および管理のを指定すると AWS KMS key、保管中の顧客データはそのキーを使用して暗号化されます。

RES は、SSL/TLS を使用して転送中の顧客データを暗号化します。TLS 1.2 が必要ですが、TLS 1.3 をお勧めします。

この製品のサービスに関するセキュリティ上の考慮事項

Research and Engineering Studio で使用されるサービスのセキュリティ上の考慮事項の詳細については、次の表のリンクを参照してください。

AWS サービスセキュリティ情報	サービスタイプ	RES でのサービスの使用方法
Amazon Elastic Compute Cloud	コア	選択したオペレーティングシステムとソフトウェアスタックを使用して仮想デスクトップを作成するための基盤となるコンピューティングサービスを提供します。
エラスティックロードバランシング	コア	踏み台、クラスターマネージャー、VDI ホストは、ロードバランサーの背後にある Auto Scaling グループに作成されます。ELB は、RES ホスト間でウェブポータルからのトラフィックのバランスを取ります。
Amazon Virtual Private Cloud	コア	すべてのコア製品コンポーネントは VPC 内に作成されます。
Amazon Cognito	コア	ユーザー ID と認証を管理します。Active Directory ユーザーは Amazon Cognito ユーザーとグループにマッピングされ、アクセスレベルを認証します。
Amazon Elastic File System	コア	`/home` ファイルブラウザと VDI ホスト用のファイルシステム、および共有外部ファイルシステムを提供します。
Amazon DynamoDB	コア	ユーザー、グループ、プロジェクト、ファイルシステム、コンポーネント設定などの設定データを保存します。
AWS Systems Manager	コア	VDI セッション管理のコマンドを実行するためのドキュメントを保存します。
AWS Lambda	コア	DynamoDB テーブル内の設定の更新、Active Directory 同期ワークフローの開始、プレフィックスリストの更新などの製品機能をサポートします。
Amazon CloudWatch	サポート	すべての Amazon EC2 ホストと Lambda 関数のメトリクスとアクティビティログを提供します。
Amazon Simple Storage Service	サポート	ホストブートストラップと設定用のアプリケーションバイナリを保存します。
AWS Key Management Service	サポート	Amazon SQS キュー、DynamoDB テーブル、Amazon SNS トピックを使用した保管時の暗号化に使用されます。
AWS Secrets Manager	サポート	サービスアカウントの認証情報を Active Directory と VDIs の自己署名証明書に保存します。
AWS CloudFormation	サポート	製品のデプロイメカニズムを提供します。
AWS Identity and Access Management	サポート	ホストのアクセスレベルを制限します。
Amazon Route 53	サポート	内部ロードバランサーと踏み台ホストドメイン名を解決するためのプライベートホストゾーンを作成します。
Amazon Simple Queue Service	サポート	非同期実行をサポートするタスクキューを作成します。
Amazon Simple Notification Service	サポート	コントローラーやホストなどの VDI コンポーネント間のパブリケーションサブスクライバーモデルをサポートします。
AWS Fargate	サポート	Fargate タスクを使用して環境をインストール、更新、削除します。
Amazon FSx ファイルゲートウェイ	オプションです。	外部共有ファイルシステムを提供します。
Amazon FSx for NetApp ONTAP	オプションです。	外部共有ファイルシステムを提供します。
AWS Certificate Manager	オプションです。	カスタムドメインの信頼された証明書を生成します。
AWS Backup	オプションです。	Amazon EC2 ホスト、ファイルシステム、DynamoDB のバックアップ機能を提供します。

クォータ

サービスクォータ (制限とも呼ばれます) は、 AWS アカウントのサービスリソースまたはオペレーションの最大数です。

この製品の AWS サービスのクォータ

この製品に実装されている各サービスに十分なクォータがあることを確認してください。詳細については、「AWS サービスクォータ」を参照してください。

この製品では、以下のサービスのクォータを引き上げることをお勧めします。

Amazon Virtual Private Cloud
Amazon EC2

クォータの引き上げをリクエストするには、Service Quotas ユーザーガイド の「クォータ引き上げリクエスト」を参照してください。Service Quotas でクォータがまだ利用できない場合は、[上限引き上げ] フォームを使用してください。

AWS CloudFormation クォータ

AWS アカウントには、この製品でスタックを起動するときに注意すべき AWS CloudFormation クォータがあります。これらのクォータを理解することで、この製品を正常にデプロイできないような制限エラーを回避できます。詳細については、「ユーザーガイド」の「 AWS CloudFormation のクォータ」を参照してください。 AWS CloudFormation

レジリエンスの計画

製品は、Amazon EC2 インスタンスの最小数とサイズでデフォルトのインフラストラクチャをデプロイして、システムを運用します。大規模な本番環境の耐障害性を向上させるには、インフラストラクチャの Auto Scaling グループ (ASG) 内のデフォルトの最小容量設定を増やすことをお勧めします。値を 1 つのインスタンスから 2 つのインスタンスに増やすと、複数のアベイラビリティーゾーン (AZ) の利点が得られ、予期しないデータ損失が発生した場合にシステム機能を復元する時間を短縮できます。

ASG 設定は、https://console.aws.amazon.com/ec2/ の Amazon EC2 コンソール内でカスタマイズできます。製品はデフォルトで 4 つの ASGs を作成し、各名前はで終わります-asg。最小値と必要な値は、本番環境に適した量に変更できます。変更するグループを選択し、アクションを選択して編集を選択します。ASGs、「Amazon EC2 Auto Scaling ユーザーガイド」の「Auto Scaling グループのサイズをスケールする」を参照してください。 Amazon EC2 Auto Scaling

サポートされている AWS リージョン

この製品は、現在すべてので利用できないサービスを使用します AWS リージョン。この製品は、すべてのサービス AWS リージョンが利用可能なで起動する必要があります。リージョン別の AWS サービスの最新の可用性については、「al AWS リージョン Services List」を参照してください。

の Research and Engineering Studio AWS は、以下でサポートされています AWS リージョン。

リージョン名	リージョン	以前のバージョン	最新バージョン (2024 年 10 月）
米国東部 (バージニア北部)	us-east-1	はい	はい
米国東部 (オハイオ)	us-east-2	はい	はい
米国西部 (北カリフォルニア)	us-west-1	はい	はい
米国西部 (オレゴン)	us-west-2	はい	はい
アジアパシフィック (東京)	ap-northeast-1	はい	はい
アジアパシフィック (ソウル)	ap-northeast-2	はい	はい
アジアパシフィック (ムンバイ)	ap-south-1	はい	はい
アジアパシフィック (シンガポール)	ap-southeast-1	はい	はい
アジアパシフィック (シドニー)	ap-southeast-2	はい	はい
カナダ (中部)	ca-central-1	はい	はい
欧州 (フランクフルト)	eu-central-1	はい	はい
欧州 (ミラノ)	eu-south-1	はい	はい
欧州 (アイルランド)	eu-west-1	はい	はい
欧州 (ロンドン)	eu-west-2	はい	はい
欧州 (パリ)	eu-west-3	はい	はい
欧州 (ストックホルム)	eu-north-1	いいえ	はい
イスラエル (テルアビブ)	il-central-1	はい	はい
AWS GovCloud (米国西部）	us-gov-west-1	はい	はい

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

デモ環境

製品をデプロイする